我是舞灵客栈的掌柜小易,希望大家能经常光l临我的小店。有空房前屋后,摆开八仙桌,铜壶煮三浆,闲着聊一聊。有空要常来哦 南来的,北往的,行商的,赶考的,进来歇歇脚,小店有上好的厢房,服务周到,包您满意
( Fri, 18 Dec 2009 15:35:15 +0800 )
Description: 引用
的 在【麻辣姐姐】的教程中,她采用的是【Photoshop CS】和【ImageReady CS】
而笔者使用的是Photoshop CS3,所以在动画的制作方法上会略有不同。 两张素材图: 首先,执行【文件】 【新建】命令,新建一个413×376像素的文件
(图像大小和素材文件一致即可),将名称命名为【麻辣姐姐签名】,
如【图01】所示。 第二步:打开【素材1】,使用【移动工具】将【素材1】拖入【麻辣姐姐签名】
中,系统自动为其命名为【图层1】,使用同样的方法将【素材2】也导入到【麻
辣姐姐签名】中,如下图所示: 第三步:执行【图像】 【旋转画布】 【水平翻转画布】命令,将图像旋转以更适合做签
名,效果如【图03】所示: 第四步:确认前景色为白色,选择工具箱中的【横排文字工具】(快捷键为T),输入“欢
迎来参加硅谷活动”等文字,在【图层调板】中双击文字图层的缩略图,为其添加图层样
式,参数设置如【图04】所示,效果如【图05】所示。 第五步:仿照第四步的方法,添加其它文字,效果如【图06】所示 第六步:选中【图层2】,使用【矩形选框】工具,绘制如【图07】所示的选区
。 第七步:按快捷键【Ctrl+J】复制选区内容,得到【图层3】。执行【编辑】
【变换】 【水平翻转】命令,将【图层3】反转,然后按【Ctrl+T】
键调整【图层3】的大小及方向并将其移动到如【图08】位置。 第八步:将【图层3】复制一份,得到【图层3副本】。为【图层3副本】添加图层样式,
设置如【图09】所示,效果如【图10】所示 第九步:按住【Ctrl】键不放,点击【图层3】的缩略图,得到【图层3】的选区,将前景色
设置为#787878,按【Alt+Del】键填充选区,并将【图层3】向下、向右移动,制作阴影,
效果如【图11】所示。 第十步:将【背景图层】删除,前期的准备工作到此结束,下面开始制作动画。执行【窗
口】 【动画】命令,调出【动画调板】。新建4帧,并将【帧延长时间】设为0.5秒,如
【图12】所示 第十一步:在【动画调板】中选择第一帧,隐藏【图层调板】中的部分图层,如
【图13】所示;(第二帧和第一帧设置相同)在【动画调板】中选择第三帧,隐
藏【图层调板】中的部分图层,如【图14】所示;在【动画调板】中选择第四帧
隐藏【图层调板】中的部分图层,如【图15】所示 第十二步:执行【文件】 【存储为Web所用格式】命令,设置如【图16】,PS会生成一
个HTML文档和一个【images】文件夹,打开文件夹,里面就是我们要的GIF动画了 最终效果:
( Fri, 18 Dec 2009 15:34:21 +0800 )
Description: 引用
的 大家一定看过很多亮晶晶的小图片,效果很不错
知道吗,用PS可以做出来转个教程给大家: ( Fri, 18 Dec 2009 15:32:56 +0800 )
Description: 引用
先看一下效果:
选择图片:
考虑到翻页的过程中,画面会有明暗的变化
复制图层1,调整一下
新建图层
用渐变工具做出卷页效果1
新建图层
同样方法做出卷页效果2
反选,绘制阴影
复制图层1至顶层
自由旋转
调整图层透明度
复制图层1至顶层
选顶卷页3的范围,绘制阴影
用路径或套索划定卷页的形状
渐变填充
复制图层1,自由变化
调整透明度 新建图层
制作卷页5
转到“IR”
“IR”打开
新建动画祯2
关闭无关图层
同样方法建立动画祯3、4
关闭无关图层
新建动画祯5,关闭无关图层
根据动画需要,在各祯适当调整“背景副本”上午透明程度
按SHIFT选全部动画祯
设定播放用时: 翻页速度快慢可以自己爱好调整 如图选择存储命令
最终效果: ( Fri, 18 Dec 2009 15:30:16 +0800 )
Description: 引用
来源:Enet 作者:不详
本教程介绍闪图的制作方法。制作的时候主要是利用素材和笔刷等制作出画面,再用IR做成闪图。做动画的一些画面需要制作得流畅一点,这样做出的效果就生动一点。
最终效果: 一、打开素材图[素材图];
二、用选取工具(快捷键M)选取心形[图1];
三、复制背景图层三次,在相应的图层上复制并移动心形,得到四个图层[图2],依次增加一颗心[图3];
四、前景色设置成FFA7AE,用横排文字工具(快捷键T),输入文字,文字大小见[图4],图层效果见[图5];
五、前景色设置成白色,用横排文字工具(快捷键T),输入文字,图层效果见[图6],文字大小见[图7];
六、复制中国的情人节图层,点击文字工具栏变形文字按钮如图9,编辑中国的情人节副本图层为变形文字见[图8]。
七、新建图层,选择画笔工具(快捷键B)选梦幻装饰元素笔刷中相应该笔刷,在适当位置点击,(笔刷下载地址:复制笔刷图层各四次,所有笔刷图层均得到3个副本;
八、现在转入ImageReady中,复制三帧,第一帧,显示背景1、各笔刷显示一层、文字显示直排图层[图10];
九、第二帧显示背景2,各笔刷显示两层,文字显示变形图层[图11];
十、第三帧显示背景3,各笔刷显示三层,文字显示直排图层[图12];
图12 十一、第四帧显示背景4,各笔刷全部显示,文字显示变形图层[图13];
图13 十二、文件菜单中选择将优化结果存储为命令,选择相应位置及文件名称存储文件[图14] ,完成最终效果
图14 图15
( Tue, 8 Dec 2009 19:04:07 +0800 )
Description: 引用
Pixlr是来自加拿大多伦多的一个在线免费图片处理网站,操作界面与Photoshop非常相似,整个网站基于Flash技术,跟以前介绍的Splashup差不多,可以从本地上传图片进行编辑,也可以在线创建一张新的图片进行制作,还可以通过图片的URL地址上传图片进行图片的处理。 Pixlr功能非常强大,虽然功能没有Photoshop强大,但完全能满足你的需求,可对图片尺寸进行修改,旋转等,具有图层功能,可对图片亮度、对比度、饱和度进行修改,还提供多种滤镜效果,效果非常不错,Pixlr支持多国语言,重要的是它支持中文简体,所以使用起来非常容易。处理完后图片能以3种格式存储:jpg、 g、bmp。 如果你对Photoshop不是很熟的话,可以使用Pixlr提供的Photo Expre 功能,这个功能比较简,可以对图片大小进行修改,还可以进行多种特效的处理。
网址:
中文版:
Expre 版:
( Mon, 16 Nov 2009 13:17:43 +0800 )
Description: 引用
图片上有水印感觉总是很不爽,为此下面收集了一些去除水印的一些方法,希望对大家有那么一点点帮助,如果这样的话,那 我也就觉得心满意足了。
一、使用仿制图章工具去除文字
这是比较常用的方法,具体的操作是,选取仿制图章工具,按住Alt键,在无文字区域点击相似的色彩名图案采样,然后在文字区域拖动鼠标复制以覆盖文字。
要注意的是,采样点即为复制的起始点。选择不同的笔刷直径会影响绘制的范围,而不同的笔刷硬度会影响绘制区域的边缘融合效果。
二、使用修补工具去除文字
如果图片的背景色彩或图案比较一致,使用修补工具就比较方便
具体操作是:选取修补工具,在公共栏中选择修补项为“源”,关闭“透明”选项。然后用修补工具框选文字,拖动到无文字区域中色彩或图案相似的位置,松开鼠标就完成复制。
修补工具具有自动匹配颜色的功能,复制的效果与周围的色彩较为融合,这是仿制图章工具所不具备的。
三、使用修复画笔工具去除文字
操作的方法与仿制图章工具相似。按住Alt键,在无文字区域点击相似的色彩或图案采样,然后在文字区域拖动鼠标复制以覆盖文字,只是修复画笔工具与修补工具一样,也具有自动匹配颜色的功能,可根据需要进行选用。
四、借图法
某些情况下,框选无文字区域的相似图形(或图案),按Ctrl+j键将其复制成新的图层,再利用变形工具将其变形,直接用以覆盖文字会更为快捷。
五、应用消失点滤镜法
对于一些透视效果较强的画面(如地板),可以应用“消失点”滤镜进行处理。
图例中的操作方法是,框选要处理的文字区域,(防止选区以外的部分也被覆盖)执行菜单命令:滤镜——消失点,进入消失点滤镜编辑界面。
1、选取左边工具栏中的创建面板工具,由地板砖缝交汇处开始,沿着缝隙,依次点四个点,连成一个有透视效果的矩形。然后拖动其边线向右方及下方扩展,令面板完全覆盖文字。
2、选取左边工具栏中的图章工具,按住Alt键点击选取源图像点,绿色十字变红后,在文字区域拖动便完成复制。
六、Ctrl+Alt+方向键
某些背景色垂直性渐变颜色的图标,有一个方便的方法去除文字。
方法:用长形选框工具在无文字区域中作一个选区,选区不宜太宽,高度应高于文字。然后按住Ctrl+Alt+方向键,直至完全覆盖文字即可
本贴来自天极网群乐社区--http://q.yesky.com/group/review-12192480.html ( Wed, 23 Sep 2009 08:21:19 +0800 )
Description:
内容:如果您有时间上网,如果您在银行、证券公司、保险公司工作,或者您从事销售工作,那么这份推广员的工作将非常适合您!如果您是在校大学生,如果您希望有份额外的收入,这份推广员工作将非常适合您!
机会在于改变!如果您想让生活更加丰富,欢迎加入我们的推广员队伍!
您只需用1分钟时间发份邮件就有机会成为我们的推广员!
请将您的:姓名-手机号码-从事的职业-所在地-个人简介 发至:
我们将在收到邮件的3个工作日内给您回复!无论是否录用,所有邮件都会回复!
谢谢您的参与!
( Sun, 9 Aug 2009 21:11:46 +0800 )
Description:
第一步 ;QQL Y T 启动photoshop,并打开需要的两幅图! ZW n j- '700')this.width='700';if(this.height'700')this.height='700';" :hB/|H* = 第二步 m:8%] %M6 点击图象大小 'H - : 'k '700')this.width='700';if(this.height'700')this.height='700';" [=imF^=3Vb 会弹出修改框,修改宽度和高度的像素。注意下面红线里的约束比例!要改成非比例的大小就把勾点去!然后将两副图片的大小调一致! "pGSz % i- '700')this.width='700';if(this.height'700')this.height='700';" uQgv ;jsPz 第三步 Lq.aM.# 很多JPG格式的图在photoshop8.0里锁定的,所以双击图层里的背景项,会弹出一个选项框,选择好~将背景变为图层!(同理,另一幅图片也这么做。但注意在photoshop里通过点击图片来改变当前编辑的图片,所以改另一副图先点击一下) $ 6Z@0H @X '700')this.width='700';if(this.height'700')this.height='700';" R@_i$ Df| 第四步 x`/ "1] Nf 选择左边工具条上面左边的工具! 4, kdP)Md$ '700')this.width='700';if(this.height'700')this.height='700';" \ = 3V]7\&am 然后点住一幅图片将它拖至另一副图片里! uR# aO '' '700')this.width='700';if(this.height'700')this.height='700';" ^i T m9vM 这时在图层里应该是有两个图层! 8XF s)1s[ '700')this.width='700';if(this.height'700')this.height='700';" Fo K!JX* 将两个图片根据画面的大小对对好~按保存! op!8\r Me '700')this.width='700';if(this.height'700')this.height='700';" O 2z{\ 第五步 R'M =` 33M 这时启动ImageReady,打开你刚保存的图片! O" %b@$p\L '700')this.width='700';if(this.height'700')this.height='700';" :(p nw*L 注意红线圈的地方,这里应该显示两个图层! wrtJ8 O( 第六步 2 VB| a;Mo 在动画工具条里点击“复制当前帧”就是红色圈住的 5W %^g_ I '700')this.width='700';if(this.height'700')this.height='700';" gzV&am S5 A{_ 复制后,在动画里会显示有两个帧!注意红色圈住的地方 3 2#|BB Y '700')this.width='700';if(this.height'700')this.height='700';" |_f m bG 第七步 ( TKn'2 点击动画工具里的“过度...”按扭! pv LA:L W2 '700')this.width='700';if(this.height'700')this.height='700';" .k_ BD]; 点击后会出现过度对话框!在“要添加的帧数”里选择你希望的帧数,默认是5,这里我们也选择5,然后点击“好” 1u9 * )w '700')this.width='700';if(this.height'700')this.height='700';" /y2){{I '700')this.width='700';if(this.height'700')this.height='700';" ~tw #Q 这时下面动画栏里会显示有7个帧!如图 b i01 ] '700')this.width='700';if(this.height'700')this.height='700';" 'M Wu 2L!F 第八步 gG ?sLgL: 这时看看图层里的当前图层是否为上面的图,不是的话点击来改变当前图层!(注意有兰色条显示的就是当前图层! 1 4 x.c '700')this.width='700';if(this.height'700')this.height='700';" t _Q\u o} 选择好当前图层后,点击动画栏里第二个帧!如图***箭头所指 OV.f+_LS '700')this.width='700';if(this.height'700')this.height='700';" +N3f{-{"Yo 点中后第二帧应该是兰色的! ZcQ@%XY3~ 然后在图层栏那边改透明度!将其从100%改为80% mS]&am '700')this.width='700';if(this.height'700')this.height='700';" LB w $K0 第九步 l 5 /!0]/ 接着选择第三个帧 p~evPTHnrX '700')this.width='700';if(this.height'700')this.height='700';" |jhu 将其不透明值改为60% @ )2$d '700')this.width='700';if(this.height'700')this.height='700';" ?]] 7PEee* 第十步 ` JZ `j7f 点击第4帧! D\LXjEm e. '700')this.width='700';if(this.height'700')this.height='700';" _9 B ^@~ 将其不透明值改成40% 6p)dO c3L '700')this.width='700';if(this.height'700')this.height='700';" sqE? U*8.- 第十一步 T@?uA *J 点击第5帧,将其不透明值改成20% U:+wt}-T " '700')this.width='700';if(this.height'700')this.height='700';" b!gvvg 第十二步 o"M h wh 点击第6帧,将其不透明值改成0% eW /sP Q- '700')this.width='700';if(this.height'700')this.height='700';" M # ) @! 第十三步 96 ]! * } 点击第1帧 0$1-5X Y 9 '700')this.width='700';if(this.height'700')this.height='700';" W,-fnJk 点击“选择帧延迟时间”如图红圈里的 ;Q8LA", 5d '700')this.width='700';if(this.height'700')this.height='700';" k*"FMJG_ 点击后会弹出个菜单!如图 ! 1wf/C;= '700')this.width='700';if(this.height'700')this.height='700';" `z j byY 选择0.2秒延迟后,第1帧下面会变为0.2秒,如图 S :%SarhBD '700')this.width='700';if(this.height'700')this.height='700';" V^/ ]h u 第十四步 EI!e0 V1 ! 点击第7帧 =l G/A[66 '700')this.width='700';if(this.height'700')this.height='700';" d Sq3V#Q 将其也变为0.2秒延迟 $Q'S 8TU '700')this.width='700';if(this.height'700')this.height='700';" ocDAg w o 第十五步 ne-; g TP; 点击“播放”按扭。看下效果! /@`kM '1: '700')this.width='700';if(this.height'700')this.height='700';" GT3 ?) g{Z 第十六步 q[ Ed6FM$~ 准备保存了,在转为GIF文件前,先设下优化值!在预设一项将其值改为 GIF 128 仿色 =e lt; #[\: '700')this.width='700';if(this.height'700')this.height='700';" B?p NF+?'z 然后选择文件菜单里的“将优化结果存储为” 6Q h@lro;y '700')this.width='700';if(this.height'700')this.height='700';"
( Sun, 9 Aug 2009 20:20:05 +0800 )
Description: 上次做的分割线虽然还算成功,但是还是有点问题哒,谢谢偶亲爱哒师父对我的分割线做出的点评,吸取经验之后,效果果然好了很多。 废话不多说,上图: 第一种效果: 上次做的,师父说:“怎么闪成那样,效果不对哒。” 的确没做好,在师父的详细讲解之后,这次做出的效果比上次好了很多,光也基本上集中在坠子上了。但是我这个是用以前的元件做的,打的字太大了,应该用宋体12的,不然效果应该会更好哒。 第二种效果: 这次比上次好了很多啦,按照师父说的,描边局外1,白色,投影22或11,打字宋12.做出来的效果的确比上一张好了很多。 这次的分割线练习到此暂告一段落,偶要再次感谢亲爱哒师父对我的悉心培养,我会做出更多更好的图哒,就像师父说的:“ 熟能生巧,多做就好。” ( Sun, 9 Aug 2009 20:17:53 +0800 )
Description: 前几天,偶在偶亲爱哒师父的博客里看到分割线教程,觉得蛮好玩哒,就自己试着做了下,还好,一下就成功勒,虽然其中遇到了点小问题,但是还是很快解决了,西西!总的来说还是很简单哒,就是要装个完整版的CS2,不然没IR做不了。在做的过程中,偶就发现,虽然师父一直说自己懒,写的教程简单,但是我发现师父的教程要仔细去看才行哒,有些话要琢磨下,仔细研究下才行,虽然有的地方有跳跃,但是正好让我自己去摸索,而且都是最简单的方法,所以,在此,我要首先感谢偶亲爱滴、最疼偶滴师父! hy;么么! 下面展示下偶的劳动成果吧: hy; 这是偶做的第一根分割线,由于加了阴影效果,所以感觉有点模糊,两边的坠子不是很清晰哒,第一次做的,大家见谅哈,师父鼓励我说做的还不错,西西~·~,但是偶知道还要继续努力才行~ 这是偶做的第二根,和上一根用的方法不同,但做出来的效果偶还不是很满意哒,一个是配色没配好,二是闪光素材没选好,继续总结经验,嘿嘿~ 这是偶做的第三个,也是目前为止我最满意哒,颜色很清晰,效果也挺好! 总的来说,这次做的分割线还是很成功滴!继续努力,hoho!
( Mon, 18 May 2009 19:31:07 +0800 )
Description:
哇噻,我居然也能有私人飞机!最近参加了“《新飞飞》飞行团征兵”活动,不仅轻轻松松当上了飞行团团长,还拥有了一架完完全全、彻彻底底属于我的私人飞机哦!很酷很拉风!
我的飞行宣言是:流云风期待您的加入,您的选择It's right!,我的飞机上给你留着座位呢,你一定要来坐坐哦!在地上待腻了,就和我去天空中撒撒野吧!
我的活动主页是:
,Welcome to you!!!
( Tue, 31 Mar 2009 22:09:58 +0800 )
Description:
Comodo2.4常见问题:
COMODO有时候记不住你所运行程序的访问规则,是因为你所运行的软件***在中文目录,或是你是绿色软件,
放在中文目录,说明这个防火墙程序读取不支持中文目录,请使用英文目录。
如果有用发现类似问题的朋友,可以试着把软件***在不是中文目录的地方。绿色软件也要放在非中文目录里,
这样,就不会老是提示你程序访问了,不会烦你了。
新手请用Comodo2.4+配合TF软件(兼容)使用,不懂英文使用起Comodo3.0操作极难
ComodoFirewall的特点?
ComodoFirewall是少数完全实现TCP/UDP全状态检测的个人防火墙。ComodoFirewall自身集成了COMODO已
认证程序数据库,包括了近20000个通过认证的可执行文件的数字认证(校验)信息。
Comodo最大的特点是两层保护,网络防火墙和应用程序防火墙。
网络防火墙:
网络防火墙通过全状态检测,可以追踪每一个接收和发送的数据包,并且对TCP,UDP,FTP等协议进行智能分析。
还可以检测和防御DOS/DDOS攻击:SYN/UDP/ICMPFloods,TCP/UDPPortSca 。
遇到DOS/DDOS攻击,将进入紧急状态,即使在用户毫不知情的情况下,可以根据攻击者的行为自动添加规则和调
整内部状态,防御入侵。
应用程序防火墙:
网络防火墙主要用于来自外部的攻击,对于控制内部的病毒、木马等的网络活动,需要应用程序防火墙。
ComodoFirewall的应用程序防火墙是目前市面上最好的之一,应用程序过滤除了限制端口、协议等,还可以限制
每分钟的连接数,还包括组件控制和程序行为分析。
Comodo有一个最大的优点是它的防泄露(Anti-Leak)能力十分强大,可以通过目前已知的所有Leak-tests。对于
保护隐私数据,防止恶意软件隐藏自己的行为,劫持信任程序,绕过防火墙,十分强大。
为了提供对恶意软件的总体解决方案,ComodoFirewallV3将加入HIPS功能,敬请期待。
ComodoFirewall是终生免费,还是免费一年?
ComodoFirewall对个人和商业用户都是完全免费的。
2.4正式版采用了新的授权方式,***过程中,将获得永久免费使用许可,而不再需要申请注册码。
ComodoFirewall为什么免费?它的免费是个陷阱吗?
COMODO是世界第二大全球认证数字***服务商,对它的安全产品可以像对Norton、McAfee、Ka ersky一样
信任,即使是免费产品,绝不会捆绑任何垃圾在里面。
提供高品质完全免费的桌面安全产品(包括杀毒软件、防火墙等等),是COMODO的一项市场策略,是为了提高品
牌的知名度。当越来越多的人使用COMODO的桌面安全产品以后,就会促使更多的大型商业网站购买COMODO
的数字认证,这才是它的主要收入来源,也是它免费的重要原因。
ComodoFirewall
官方网站:.http://www.comodo.com
官方论坛:.http://forums.comodo.com
ComodoFirewall支持那些操作系统?
Win2000/XP/2003(32bitALL),不支持Win9x和Vista。
ComodoFirewall提供在线自动升级吗?
正式版提供自动更新,测试版不提供。
Comodo是否与kav、AntiVir、NOD32冲突?
根据大量用户的反应是不冲突,但不排除个别情况(RPWT)。
poor是指防泄漏而言
comodo是防泄漏方面很好的一个防火墙,比l 好,l 有程序访问网络的时候,只是告诉你访问网络了,
comodo会细致一些,会告诉你是哪种网络访问方式,访问的是哪些ip等等
防火墙装一个就行,comodo防内可不弱啊,目前应该是最强的。这个防火墙好处是***了不需要额外设置就可以
使用,就是提示有时多些
不用设置,默认就行了
comodo有个好处,就是你本次没有记忆允许的程序,不会在程序列表中出现,就不用手动擦除痕迹了
只需要在组件监视器中把所有的组件选择和删除了
也可以选择不记录日志,使用起来还是很方便的
256M以下内存可把日志功能全部关闭,减少内存占用
关闭日志:主界面--活动--日志--右键,日志事件来自--取消所有的选择
***Comodo2.4中文简体版上网后提示要否升级,可不选升级!如升级就升成了英文的Comodo3.0(对新手难度太
大)
Comodo(嗑毛豆)Comodo3.0的HIPS模块监控非常强大,基于软件行为模式分析,适合人群:
有相当ZA经验的人
知道什么是HIPS并已经在使用HIPS的人(SNS,GSS,SSM,等)
上网地址相对杂乱的人
对系统安全知识了解的人
Comodo(嗑毛豆)V3防火墙模块,HIPS模块默认都已经够强大的了。
建议ZA用户暂时不要转移,系统补丁+上网习惯+系统、策略、ie等安全设置后,在此基础上类似ZA的都足够强
大,Comodo,PCtools,LNS,OnlineArmor等等。目前杀毒软件业都在加入HIPS模块,如卡巴8.0等,还存在
与某些HIPS软件冲突等因素。如果原来系统以及使用各方面都正常,还是维持原状好,要注意安全和易用是互相
矛盾的。有时间和精力的可以向更麻烦的软件转移。
ComodoFirewallProV3入手
第一部分ComodoFirewallProV3简介
啥是ComodoV3,没听说过?
ComodoV3是一款刚刚发布的全新XP/Vista桌面安全软件,完全免费,包括了HIPS和Firewall提供了对于各种恶
意威胁的最大保护。ComodoV3是一款革命性的个人桌面安全产品,将引领桌面安全产品的转型,未来HIPS将成
为你安全体系的最重要的组成部分,是防御各种恶意软件,网络入侵的第一道防线。
----HIPS是啥?
HIPS全称是主机入侵防御系统(HostIntrusionPreventionSystem),通俗的讲就是系统防火墙。Comodo给
自己的HIPS命名Defe e+(简称D+)。Defe e+是一个极其强大的HIPS,还在不断完善中。
Defe e+可以保护你的系统资源(文件、注册表)不被恶意篡改,可以保护你的私人文档,各种密码不被木马窃
取,可以阻止病毒、木马的运行和对系统的破坏,可以阻止Rootkits在你的系统留下后门。
----啥是Firewall?
Firewall主要负责控制网络通讯,过滤有害或者没用的垃圾数据包,只允许你批准的程序访问网络,防御来自网络
的攻击。
ComodoV3增强了防火墙引擎,提高了对P2P程序的支持(不影响速度、不占用CPU)。
ComodoV3提供了ARP保护,保护你的ARP缓存不被非法修改。
--------第二部分为什么要使用HIPS(Defe e+)
----HIPS的分类
我认为HIPS至少分为三类:
Cla icHIPS,也就是传统意义上的HIPS,包括SSM、PS、EQ,Comodo的Defe e+是Cla icHIPS。
SmartHIPS所谓智能型的HIPS,不多谈。
SandboxHIPS沙盘型的HIPS,SandboxHIPS三巨头:Defe eWall、GeSWall、Sandboxie,此外还有
BufferZone、SafeSpace.
----为什么要使用HIPS(Defe e+)
目前,特征码杀毒早已滞后于新病毒的产生,传统杀毒软件对新病毒的检出率也就是5x%-6x%,最多7x%,纷纷引入
主动防御。为什么增加HIPS作为防御体系一部分,因为HIPS不依赖特征码,可以在杀毒软件的真空期,应付几乎
所有的未知威胁。
--------第三部分***ComodoV3
下载地址:hxxp://www.personalfirewall.comodo.com/download_firewall.htm
----***Comodo前
1、你需要卸载其它第三方防火墙(防火墙只需要一个,两个防火墙装一起,有可能轻则不能上网,重则蓝屏死
机),关闭Windows防火墙。重启。
2、用杀毒软件扫描系统,保证你的系统是干净的。如果你喜欢收集病毒样本,先将这些样本用压缩软件打包。
3、断开网络连接,暂时停用你的一切保护,双击***程序开始***。
这里可以选择AdvancedFirewallwithDefe e+(包过滤防火墙+HIPS),或者不需要***HIPS,可以选择
BasicFirewall(基础的包过滤防火墙)。即使这里选择***高级防火墙,以后在使用中,也可以选择不激活
Defe e+而成为一个包过滤防火墙。
注意这里,新手要选择P2P友好模式(Yes);对V2.4比较熟悉的,会自己设置P2P规则,可以选择(No)。
***结束以后,去掉RestarttheComputer的勾,Finish。
----我们接下来要备份默认规则,运行regedit导出注册表:
HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\FirewallPro
双击运行Comodo,在MISCELLANEOUS-ManageMyConfiguratio 用Export导出设置。
----为啥备份默认规则?
因为,怕你以后胡搞瞎搞,整的连系统都进不去了,好跑到安全模式,删掉
HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\FirewallPro,然后恢复默认规则。
右键点防火墙托盘图标,去掉Di layBallonMe ages,这个选项本来就应该去掉的,以减少对用户的打扰。
在MISCELLANEOUS-Settings-Update去掉Automaticllyperfermanonlinelookupforthe
unrecognizedfiles,以减少警告对话框弹出时间。
开始菜单运行里输入services.msc将TerminalServices设置成手动,并且启动。
其实这里设不设置都无所谓,不过开机可以看到绿色的已启动,比还在初始化要舒服。
在MISCELLANEOUS-Settings-Logging-DisableFirewalllogging/DisableDefe e+logging,取消记录
日志,大多新人看不懂日志,不如取消,等有问题的时候再打开也不迟。
***结束,重启系统。
----------------第四部分Defe e+基本设置
----自动检测私有网络
ComodoV3在***以后会自动检测本地网络连接,弹出相应的提示:
是一个带有掩码的IP地址段,比如:192.168.1.100/255.255.255.0、10.200.1.62/255.255.255.252
通常,拨号上网,只要点OK就可以,或者勾上不自动检测;
----完全禁用Defe e+(高级防火墙和基本防火墙切换)
Defe e+是ComodoV3的HIPS(主机入侵防御系统),可以最大程度防御已知和未知的威胁;在得到更加强大
的保护的同时,用户需要进行更多的设置,需要处理更多的弹出窗口。禁用Defe e+以后ComodoV3只是一个
单纯的防火墙。
为了满足不同用户的需求(使用其它HIPS、或不想使用HIPS),ComodoV3提供了禁用Defe e+的选项。
DEFENSE+------Advanced-------Defe e+Settings
--------安全等级
安全等级决定了ComodoV3对不同类型的程序如何处理,是否采用学习模式,或者弹出提示。
建议经过适当时间的学习,所有常用程序设置好规则以后,将NetworkDefe e设置为CustomPolicyMode,
将AlertFrequencyLevel设置为VeryHigh/High。
如果***时系统是干净的(所有硬盘分区),将ProactiveDefe e+保持为CleanPCMode是最佳选择;还可以
设置为TrainSafeMode。ParanoidMode不推荐普通用户使用。否则会很烦人。
--------基本设置方法
新手使用ComodoV3是很简单的,只需要运行自己常用的软件,帮助Comodo学习你使用软件的方式。Comodo
一般不会打扰你,只在必要的时候给予提示,当碰到提示的时候,如果是网络软件或易被病毒利用的程序,选择
Allowthisrequest&am Remembermya wer&am OK。对于,不需要上网的一般程序选择
Treatthisa licationas
TrustedA licatio am Remembermya wer&am OK。
----CleanPCMode是王道
Comodo默认***以后Defe e+使用“CleanPCMode”。
对于新人来说,CleanPCMode是王道,最好的选择。
CleanPCMode的前提是你的电脑必须干净,所以,我才会在***前提示你杀毒。
CleanPCMode假设你的电脑硬盘里的当前所有程序是安全的,学习它们的操作,一般不会提示;
假设移动存储设备、网络是不安全的,对于以后新加入的文件,将认为是不安全的,任何操作都将给予提示。
----CleanPCMode和MyPendingFiles密切相关,MyPendingFiles里的文件是唯一在CleanPCMode下被
Comodo认为不安全的文件,当从网络上下载一个新的程序(exe)到硬盘里,或从RAR解压一个exe文件,
Comodo将会将它加入MyPendingFiles,成为不受信任的文件。以后运行这个程序将弹出提示。
CleanPCMode和MyPendingFiles是Comodo申请专利的技术,ComodoV3的启动 lash有patent
pending字样,就是指这个。CleanPCMode和MyPendingFiles提供足够的保护的同时,保证了Comodo
V3的简单易用,最大限度地使用学习模式,是易用性和安全性平衡的典范。
--------推荐新人使用CleanPCMode。
--------等待审核的文件MyPendingFiles
ComodoV3没有SHA/MD5这样的文件Hash系统,而是使用文件保护和实时追踪系统文件变化。
新建立、更新、修改的可执行文件(包括exe、dll、sys等),都会被加入MyPendingFiles等待用户审核。
--------MyPendingFiles的文件是不信任的,任何动作都将会提示。为了保证系统安全,在CleanPCMode下,
必须100%确认这些文件是安全的,才能用Remove移除,一旦移除,这些文件将会成为安全的,Comodo对以后
的一般操作都不会提示。对于不确认的,请保留到MyPendingFiles直到最后确认是否安全。对于,不存在的或
者临时文件,可以用Purge移除。对于不安全的,直接在资源管理器里彻底删除。
--------***模式I tallationMode
Comodo提供了***模式,可以在***新程序时,减少提示。
首先要确保***程序100%安全,然后运行,选择Treatthisa licationasanI tallerorUpdater即可。
Comodo会提示是否切换到***模式,选“Yes”进入***模式,不同意的选“No”。
由于处于***模式的程序具有很大的权限,所以Comodo会定时提醒你,切换回从前的模式(***完选Yes)。
ImageExecutionControlSettings
加入:*.com,*.bat,*.pif*.cmd*.sys
----------------第五部分Firewall基本设置
Comodo默认***以后Defe e+使用“CleanPCMode”,Firewall使用“TrainWithSafeMode”。
为什么不在Firewall里也搞个CleanPCMode呢?因为网络是不安全的,一旦一个程序有访问网络的权限,它就
有可能危害你的系统和个人隐私,Firewall的CleanPCMode没有意义。
TrainWithSafeMode只学习Comodo白名单数据库里的安全程序的网络规则,这在干净的电脑上是安全的。对
于不认识的程序,将会提示。
----调整Firewall设置
在学习规则前,我们先调整一下防火墙设置。
1.修改MyPortSets-POP3/SMTPPorts
默认的和邮件有关的端口,添加一下最后是:
110、25、143、465、587、993、995
2.新建一个DangerousPorts危险端口组,添加:
135、137-139、445、3389
3.Firewall-CommonTasks-StealthPortsWizard
你可以在这里选择完全隐身模式,以后自己象V2.4那样添加规则。
4.自定义GlobalRules
ComodoV3的GlobalRules相当于V2.4的NetworkMonitor;
ComodoV3的A licationRules相当于V2.4的A licationMonitor。
Firewall-Advanced-NetworkSecurityPolicy-GlobalRules
添加一些规则,注意所有允许的规则都放在阻止的规则上面,因为ComodoGlobalRules由上至下匹配。
添加几个简单阻止规则:
1.阻止对本机PrivilegedPorts[0-1024]的访问,普通用户,不会开启这些端口。
BlockAndLogTCPORUDPInFromIPAnyToIPAnyWhereSourcePortIsAnyandDestinationPortIn
[PrivilegedPorts]
2.阻止对本机3389端口的访问,由于前面开了TerminalService,在这里阻止远程协助端口,以防万一。
BlockAndLogTCPORUDPInFromIPAnyToIPAnyWhereSourcePortIsAnyandDestinationPortIs3389
3.阻止本机连接135、137-139、445端口
BlockAndLogTCPORUDPOutFromIPAnyToIPAnyWhereSourcePortIsAnyandDestinationPortIsIn
[DangerousPorts]
4.默认的阻止被人Ping的规则
BlockAndLogICMPInFromIPAnyToIPAnyWhereICMPMe ageIsECHOREQUEST
建议经过适当时间的学习,所有常用程序设置好规则以后,将NetworkDefe e设置为CustomPolicyMode,
将AlertFrequencyLevel设置为VeryHigh/High。
ComodoV3***使用***介绍及讲解
这个是我根据帮助文件和自己的使用心得归纳而成,希望对毛豆们有一点帮助,也是抛砖引玉,时间仓促水平有
限,难免谬误,还请各位大大指正。本文是对comodo的基本功能的介绍和讲解。
概述
Comodo防火墙专业版为你的系统提供360°全方位的保护,通过企业级的包过滤墙和先进的主机入侵防御系统的完
美结合来阻止来自内部及外部的威胁。新的界面能帮助用户更加方便迅捷的访问所有主要设置,包括强大的高度
可配置的安全规则界面。
Comodo防火墙始终监控来自内部和外部的攻击并且守护你的系统,V3最大的特色就是提供了完全成熟的HIPS主
机入侵防御系统,命名为Defe e+来保护你的重要系统文件以及在病毒和恶意软件获得机会***前就阻止它。事
实上,defe e+对于防御恶意软件非常出色,你也许永远不再需要脆弱的反病毒软件了^_^。
V3提供了非常有好人性化的图形用户界面。高度细化的设置选项。容易理解和有益的报警提示。优秀的信任区侦
测功能以及其他。Comodo防火墙专业版提供了企业级的保护,可以‘outofthebox’使用---即使是最没有经验
的用户也可以在***后使用,不会为复杂的配置问题所困扰。
Comodo包括一个内置的可执行文件数据库。对所有已知的可执行文件进行了全面的分类。Comodo是唯一为用户
提供这种重要信息的防火墙。
---------***
在***前确保你的系统里没有其他第三方防火墙软件。
系统需要配置
WindowsVista(Both32-bitand64-bitversio )
WindowsXP(Both32-bitand64-bitversio )
InternetExplorerVersion5.1orabove
64MBavailableRAM
60MBharddisk acefor32-bitversio and80MBfor64-bitversio ---------***步骤
这时Comodo防火墙会询问是否启用安全程序认证功能。Comodo的安全列表是一个超过了一百万应用程序的签名
数据库。所有这些程序都被comodo认可为安全对你的系统不会造成伤害。如果启用了这个功能,comodo会自动
为了系统内的在comodo安全列表内的程序创建允许规则来允许这些程序访问网络。这个功能是非常方便和安全
的,因为你最爱的程序能立刻联网,不过如果这些程序尝试以可疑方式联网时comodo依然会立刻提示你的(比如
木马劫持了程序后准备通过此程序外联时comodo会马上报警提示^_^)。
***完毕
---------------------------各主要界面及功能介绍
---------摘要界面
提示框界面
提示框分为防火墙提示FirewallAlerts和行为监控提示Defe e+Alerts。先来看行为监控提示
关于le optio 功能
这个功能是将询问选项简化成只有允许和阻止。
询问框安全等级
询问框安全等级分为三类,以黄,橘,红三色表示。可以帮助用户判断,但是这只是辅助之用,还需要结合安全
评估进一步分析方可做出允许或阻止选择。
***报警------低威胁报警。在大多数时候你可以允许这些网络连接请求或行为请求。这个等级默认对安全请求是
自动勾选'Remembermya werforthisa lication'(记住)选项的。
橘色报警------中度威胁报警。请仔细阅读安全评估后再做出决定。这个警报可能是信任程序的无害进程或活动,
也可能是恶意软件的攻击。如果你知道这个程序是安全的你通常可以选择允许,如果你不清楚这个程序执行的动
作或连接是否安全你可以阻止它。这里我的建议是如果有进程或动作不清楚,可以百度或狗狗来了解下,对判断
很有帮助。
红色报警------高威胁报警。这个报警显示了类似木马病毒或其他恶意软件活动的高度可疑行为。在允许此活动前
请仔细阅读提供的信息,慎重决定,不能确定的话百度狗狗是你的好榜手哦^_^
---------如何对询问提示做出正确的判断?
对于防火墙询问
仔细阅读安全评估。Comodo能够识别数千中安全程序(比如IE和outlook),如果程序被认为是安全的(安全评
估里可以看见,如果是安全的comodo会直接显示“安全”),你可以选择允许。同样如果程序是未知的或不能
识别的comodo也会在安全评估里直接告诉你,如果是你平常经常用的程序你可以允许它的联网请求(一般出现这
个情况的原因是此程序还没有被加入到comodo的数据库中,所以想要更方便的使用大家还是要多多上报平常常用
的一些程序),如果是你没有见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信
息,下次出现这个询问是就知道怎么做了。
在提示框中点击进程的名称可以调出此进程的属性窗口,可以帮助你做进一步判断。
如果你确定这个程序是你常用的程序,你可以使用'TreatThisA licationAs'(把此程序归为)选项来用内置的
规则简化操作。比如你可以把程序设置归为'WebBrowser'浏览器类型。这样此程序就可以使用与IE等浏览器一样
的规则。这些内置规则都是经过comodo特别设计的针对此类程序的最优化的安全设置。
对于行为监控询问
和防火墙询问一样,仔细看安全评估。Comodo能够识别数千中安全程序,如果程序被认为是安全的(安全评估里
可以看见,如果是安全的comodo会直接显示“安全”),你可以选择允许。同样如果程序是未知的或不能识别的
comodo也会在安全评估里直接告诉你,如果是你平常经常用的程序你可以允许它的执行动作请求,如果是你没有
见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信息,下次出现这个询问是就知道
怎么做了。
如果不是***程序请不要把程序归为'I tallerorUpdater'(***升级)类型。因为这个类型给予了程序最大的权
限,如果你必须使用可以暂时选择此类型,但请不要选中“记住”选项。
在各种报警行为中特别要注意的是DeviceDriverI tallation(***设备驱动)和PhysicalMemoryAcce (访
问物理内存),很少会有合法程序会有这两种动作(可惜中国好像很多^_^),这通常是比较明显的恶软和rootkit
的行为。除非你确定请求此动作的程序是合法的。建议:访问物理内存一般不管正常与否都可以阻止,对程序的
使用没有大的影响,***驱动请确定程序的合法性,如果不确定一定要先阻止。
ProtectedRegistryKeyAlerts修改受保护的注册表键值报警
这种情况一般发生在你***新软件时,如果没有***新软件,在使用软件的过程中出现这种情况,建议阻止,即
使你看不懂它要修改的是什么也没关系,一般阻止了不会影响程序的使用。
'ProtectedFileAlerts'受保护的文件报警
一般发生在你下载文件或复制文件或者升级程序***程序时。如果不是以上这些情况建议阻止。
如果有程序要在windows目录和子目录下创建可执行程序一定要特别注意。这是典型的恶意软件的行为,如果你
不是***新程序或打补丁一定要阻止。
如果有程序要创建一个很陌生的dll文件,可能是病毒,除非你信任此程序,否则建议阻止,或者将它设置为“监
禁程序”'IsolatedA lication'。
---------------------------Defe e+模块
D+可以说是comodov3最吸引人的地方了,非常有特点。它其实就是个HIPS主机入侵防御系统,会一直监控你系
统中所有可执行文件的活动。每当有未知的可执行程序(.exe,.dll,.sys,.batetc)尝试运行时comodo就会报警,得
到你的允许后才能运行。先看界面,分为CommonTasks“常规功能”界面和Advanced“高级功能”界面。
常规功能界面
通过这个界面的功能可以很方便的配置D+。
高级功能界面
这个是提供给比较有经验的用户来更深入的设置D+的安全策略和设置的。
---------常规功能讲解
1.ViewDefe e+Events日志
日志记录每一条违反了你的安全策略的行为,这些行为已经被阻止,你可以通过查看日志了解。
点击上图日志中的“more”可以查看更多近期的日志。还可以对日志进行过滤,这个没什么大用就不展开了。
---------MyProtectedFiles受保护文件
这个功能可以防止你要保护的特殊文件和文件夹被未授权程序非法修改。这个可以防止各种病毒修改受保护文
件,也可以防止非常有价值的文件被偶然或蓄意的破坏。当一个文件是受保护文件时它依然可以被访问阅读,但
是不能修改。例如host文件(c:\windows\system32\drivers\etc\hosts).这种系统重要文件就应该加入到受保护文
件中。这样一来就可以只允许程序读取,但不能修改,一旦尝试修改就会被comodo挂起并报警。
受保护文件虽然可以阻止病毒修改文件,但是一些正常程序需要修改怎么办呢?可以通过添加"例外"Exceptio 来保证它们拥有修改的权限。
比如假设一个WPS文件'***.w ',我们需要w 程序可以修改它,而不希望其他肯潜在恶意程序去修改它。那我
们就可以这么设置。
把'***.w "加入受保护文件后,现在我们来把w 程序排除,允许它修改“***.w ”。
这样"***.w "就既可以被WPS修改而又不会被其他程序修改了。
---------MyQuarantinedFiles我的隔离文件
这个功能可以允许你锁定文件和文件夹,在隔离区域里的文件或目录任何其他程序和用户都不没有权限访问,如
果隔离的是可执行文件将无法运行。和我的受保护的文件不同,隔离文件不允许设置例外程序来访问它。
我们再来举个例子,假设“概述.w ”添加为隔离文件。
添加完成后,我们来删除试试看。
---------MyPendingFiles我的等待认证文件
***ComodoFirewall后,comodo会监控所有文件的动作。每个新的可执行文件都会被comodo扫描以检查是否
在comodo的认证安全文件数据库中。如果不在其中,comodo就认为它不是安全的,会把它们添加进'My
PendingFiles'我的等待认证文件中,等待用户的查阅并有可能的话上报给comodo。除了新的可执行文件,任何
被修改的可执行文件都会被重新加入'MyPendingFiles'中。
'MyPendingFiles'我的等待认证文件这个功能对于'CleanPCMode'清洁模式是非常有用的,在清洁模式中,等
待认证文件被认为是不清洁的。
“等待认证文件”允许用户:
访问等待认证文件,决定是否信任文件。如果文件是可以信任的,可以转移到'MySafeFiles'(我的安全文件)区
域,同样的如果不信任的话可以转移到'MyQuarantinedFiles'(我的隔离文件)区域。
Lookup功能是允许你通过masterComodosafelist检查文件信息。会连接comodo服务器在masterComodo
safelist安全列表数据库中检查是否有任何有关此文件的信息,如果没有信息,你可以把它上报给comodo进行分
析。
---------MyOwnSafeFiles我的安全文件
'MyOwnSafeFiles'我的安全文件是个非常有用的功能。你可以把你信任的文件加入,这样这个文件就被comodo
认为是安全的,如果是一个你认为安全的可执行文件但是comodo的数据库里暂时没有的话你可以把它加入'My
OwnSafeFiles'区域。这样运行时就不会有提示框了,方便了用户。
ViewActiveProce List查看活动进程
这个界面把你系统中所有活动的进程以及它们的父进程以进程树方式显示了出来。
MyTrustedSoftwareVendors我信任的软件提供商
Comodo可以从信任软件提供商处获得程序的数字签名。可信任的提供商都会向第三方提供数字签名以保证它的
真实和完整性。目前一般是在TrustedCertificateAuthority机构进行第三方签名。D+默认会检测对比软件开发商
和TrustedCertificateAuthority提供的签名。同时也会把经过检测无问题的软件加入comodo的安全列表中。
MyProtectedRegistryKeys我的受保护注册表键值
Comodo默认已经将一些系统重要注册表键值加入保护防止修改。如果这些重要键值被以任何方式修改可能会对你
的系统造成无法挽回的损失和破坏。所以请一定确保这些键值是受保护的。
MyProtectedCOMInterfaces我的受保护的COM(组建对象模型)接口
ComponentObjectModel(COM)是微软公司为了计算机工业的软件生产更加符合人类的行为方式开发的一种新
的软件开发技术。在COM构架下,人们可以开发出各种各样的功能专一的组件,然后将它们按照需要组合起来,
构成复杂的应用系统。由此带来的好处是多方面的:可以将系统中的组件用新的替换掉,以便随时进行系统的升
级和定制;可以在多个应用系统中重复利用同一个组件;可以方便的将应用系统扩展到网络环境下;COM与语
言,平台无关的特性使所有的程序员均可充分发挥自己的才智与专长编写组件模块;等等。
COM是开发软件组件的一种方法。组件实际上是一些小的二进制可执行程序,它们可以给应用程序,操作系统以
及其他组件提供服务。开发自定义的COM组件就如同开发动态的,面向对象的API。多个COM对象可以连接起来
形成应用程序或组件系统。并且组件可以在运行时刻,在不被重新链接或编译应用程序的情况下被卸下或替换
掉。Microsoft的许多技术,如ActiveX,DirectX以及OLE等都是基于COM而建立起来的,而directX和OLE都是黑
客和病毒对你的系统发起攻击的最喜爱的目标。限制进程访问COM,保护COM接口对于系统安全是非常重要的
一部分。
Comodo默认已经将一些重要COM加入了保护,你也可以自己添加。这个COM不熟悉,所以我一直用的默认,具
体的等以后U版来讲解吧^_^。建议是看到有关COM的报警就阻止,有什么问题再根据日志修改。反正我是这么做
的^_^
---------------------------高级功能讲解
界面
---------ComputerSecurityPolicy系统安全策略
这个是D+的重头戏了。就是平时大家所说的规则,没有好的规则再好的软件也没有用,所以规则的设置是非常关
键的。下面就来介绍下规则的设置。
对已配置策略的程序进行策略修改
如果要为一个新程序设置规则怎么办呢?
对于程序的访问权限应该怎么设置见仁见智。这里我把自己对一般应用程序的AD设置的看法说一下,仅供大家参
考。
1.运行应用程序.
这个很简单吧,没什么好说的,你双击一个程序,这个程序就运行了谁都知道,但是如果在上网时你没
有运行突然弹出询问框报警程序运行你就要当心了,一定要仔细看程序路径名称,一般会自动运行的除了病毒就
是一些软件的升级程序,但是如果该程序是在TEMP路径下的话一定记住要阻止,99.9%是病毒!
2.加载驱动程序
一般只有比较BT的软件会要求加载驱动程序,比如杀软以及一些安全工具,所以这个也很简单,只有
你完全信任的程序才可以允许,否则请阻止。特别是路径或程序名比较陌生的。
3.访问物理内存
我们知道,在NT/2K/XP中,操作系统利用虚拟内存管理技术来维护地址空间映像,每个进程分配一个4GB的虚拟
地址空间。运行在用户态的应用程序,不能直接访问物理内存地址;而运行在核心态的驱动程序,能将虚拟地址
空间映射为物理地址空间,从而访问物理内存地址,从而更快的收集数据。所以要求访问物理内存的程序一般都
是比较BT的,除了你确信的其他一般可以阻止,即使是正常软件阻止了也不会影响使用。
4.底层磁盘操作
所谓底层磁盘操作本身并没有什么危害,某种程度上还提高了操作效率。但对于FD而言如果仅仅是在Windows层
面上进行控制,那么有些有害程序就是通过直接对磁盘进行操作的方法来绕过HIPS的控制。就象你在家门口放两
个门卫以为可以高枕无忧,哪知人家挖了个地道直接进了你家,门卫就成了摆设。因此HIPS应该要包括对底
层磁盘操作的防护。除非HIPS能做到最底层。一般来说阻止底层操作不会影响软件的使用。
5.创建远程线程
远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道,在进程
中,可以通过CreateThread函数创建线程,被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线
程)共享地址空间以及其他的资源。通过CreateRemoteThread也同样可以在另一个进程内创建新线程,被创建
的远程线程同样可以共享远程进程的地址空间,所以,实际上,我们通过一个远程线程,进入了远程进程的内存
地址空间,也就拥有了那个远程进程相当的权限。就好像把一个寄生体注入到了其他生物中一样。这个寄生体将
会与他的宿主“同生共死”并且拥有宿主的所有权限。由于我们的程序代码寄生在其他进程内部,所以一般人使
用任务管理器是看不见这个“寄生”进程的。
创建远程线程是木马隐藏自己的一个非常高明的手段,就好象一个特务在通关时一般都会混进一些高官的车中,
胁持高官谎程自己是高官的部下,从而获得了免于审查并通关的权利。所以对于不熟悉的程序一定要阻止其创建
远程进程。
6.修改其他进程内存
一般正常软件不会有此动作,所以阻止吧。
7.***全局钩子
英文叫hook,指利用api来提前拦截并处理windows消息的一种技术,能够使该程序对其他系统内有键盘响应事件
的程序自己挂钩。说白了就是在你家******,你能容忍吗?阻止!不过QQ是要允许的哦,要不然就登录不上
去了。
8.***服务或驱动
同加载驱动程序。
9.键盘记录、修改系统时间、直接操作系统内核
有些正常程序也会进行键盘输入监控,所以键盘记录一定要确定是不是正常程序。修改系统时间、直接操作系统
内核一般建议阻止。
10.windows消息
这个建议先阻止,看无影响下次就可以阻止并记住。有些病毒会利用消息破坏你的系统。
11.结束进程
这个建议选询问。如果一般应用程序comodo提示它要结束其他程序进程一定要阻止。
---------PredefinedSecurityPolicies预置安全策略
PredefinedSecurityPolicies预置安全策略是个很好的功能,可以很大成度上简化用户使用的难度和复杂性。这
个相当于策略组。你可以设置好相应的策略组,然后以后有什么程序运行就把它加入相应策略组就行了,免去了
一个个去自定义的麻烦。
ImageExecutionControlSettings可执行文件镜像控制设定
引用U版的话“在每一个可执行文件被载入内存前给予验证、提示。
程序平时是以文件形式保存在硬盘,在运行时载入内存。我们一般把可执行文件叫做程序的映像(image)。一个进
程是一个正运行的应用程序的实例;进程是进程映像(Proce Image)的执行过程,也就是正在执行的进程实体。
ImageExecution是对可执行文件载入内存进行控制,会影响Policy里的Runanexecutable”
什么意思呢?就是如果选了Aggre ive,即使你的可执行文件在策略中已经允许运行了,但是comodo还是会报
警提示。在可执行文件尝试加载入内存或缓存时会被comodo拦截。
normal就是在可执行文件尝试加载入内存会被comodo拦截,但加载入缓存是不会拦截的,这是comodo的默认设
置,建议不要改动。
下面举个例子,大家就知道有什么区别了。我的yyy.exe已经设置好策略,原来运行是没有任何提示的。
选择Aggre ive(积极状态?)时
---------Defe e+Settings行为监控设置
ParanoidMode偏执狂模式
这是最高安全等级模式,意味着comodo会监控你系统中所有可执行文件除了你设置为安全的文件。Comodo不会
对任何程序进行学习,即使这些程序在comodo的安全列表里。仅仅会使用你自己配置的策略来过滤危险的系统
活动。同样comodo不会为任何可执行文件自动创建允许规则。使用这个模式会使D+产生大量报警提示,建议需
要完全的活动提示的高级用户使用。
TrainwithSafeMode安全文件学习模式
这个模式下comodo除了监控危险的系统活动,也会自动学习被comodo认证为安全的可执行文件的行为。会自动
为他们的行为创建允许规则。对于没有认证的,未知的程序在运行时还是会有报警提示的。如果你的系统不是新
装的或不知道有没有病毒,那么这个模式就是比较适合你的,既容易管理又有较高的安全性。
CleanPCMode清洁系统模式
这个模式下comodo会学习系统内所有可执行程序的一切活动。但是学习完后新***的可执行文件依然会报警提
示。这个模式建议使用在新系统或者确定没有病毒的系统中。
TrainingMode学习模式
Comodo会学习所有可执行文件的一切活动,不管是原有的还是新***,除非你改变模式。你不会看到任何报警提
示,这个模式只有在你确定系统中所有文件都是安全的时候使用。建议不使用。或者可以暂时使用,为一个程序
自动创建规则,创建完成后调整回原来状态。
Disabled不可用
暂时关闭D+功能。
'MonitorSettings'监控设置
这里是选择监控各种活动和对象的设置。如果你取消某一项的监控,那么所有程序策略中关于此的监控都会失效。
Interproce MemoryAcce 访问其他进程内存
病毒常常利用内存空间修改来注入代码进行各种攻击。包括记录键盘输入,修改伪装入侵程序的行为,通过从一
个进程发送信息给另一个进程来窃取机密数据等等。内存空间的破环最严危险的就是病毒可以伪装自己使得传统
的反病毒软件和入侵检测系统无法察觉。
Windows/WinEventHooks全局钩子
在MS操作系统中,钩子是用来在事件传达到程序前拦截事件(消息,鼠标动作,键盘输入)的设备。这通常来说
可以让合法软件开发商开发更加强大有用的程序,但是也会被黑客所利用。比如用来***记录键盘输入,鼠标动
作,***修改所有的系统消息,远程控制你的鼠标和键盘。
DeviceDriverI tallatio ***驱动
驱动是一个允许程序或系统与硬件设备通讯的小程序。硬件设备包括你的硬盘,显卡,网卡,CPU,鼠标,USB设
备,屏幕,光驱等等。即使***一个正常的驱动也可能因为与其他驱动冲突而导致系统瘫痪,所以如果是一个病
毒程序的驱动可想而知会导致对你的电脑的严重的破坏甚至使黑客控制你的电脑。
Loo ackNetworking回送网络?
回送连接指的是你的系统的内部的通讯,是TCP/IP的一个一般性还回设备。任何你电脑上的数据通过回送连接发送
的都会立即通过它接受到回应。Lookback渠道攻击可以大量对你的电脑进行TCP/UDP请求致使系统崩溃。
Proce Terminatio 进程终止
一个运行的进程对应一个程序。(比如comodo防火墙的对应进程就是cfp.exe)终止进程就会结束程序的运行工
作。病毒经常利用这个来终止安全软件的进程来使安全软件无法工作。
WindowMe ages系统消息
病毒程序会利用消息来发送特殊消息修改另一个程序的行为。
DNSClientServiceDNS客户端服务
病毒程序有可能为了运行DNS(域名系统)递归攻击而访问windowsDNSservice。这是典型的DDOS洪水攻击,
病毒程序向DNSserver发送成千上万的欺骗请求。DNS洪水攻击是一种由恶意实体向DNS服务器发送成千上万的
虚假请求而造成的分布式拒绝服务攻击。这些请求富于欺骗性,因为它们似乎是来自目标或“受害者”的服务
器,但实际上来自不同的机源--通常是一个未经主人允许的网络上的“僵尸”电脑发出了这些请求。DNS服务器
被欺骗后发送所有的回复到受害服务器,使受害服务器无法抵抗而崩溃。选择此项设置能阻止恶意程序使用域名
系统为客户服务发起此类攻击。
ObjectsToMonitorAgai tDirectAcce 直接访问对象监控
通过直接访问方式可以使程序获得存储设备上的数据或者写入数据,感染其他可执行程序,还可以绕过主动防御
或HIPS软件的监控。所以监控直接访问对象是非常重要的。
PhysicalMemory直接访问物理内存
如果允许病毒程序直接访问物理内存可以使系统执行病毒代码。
ComputerMonitor直接访问屏幕
病毒程序可以通过此监控用户的网络浏览,秘密发送广告等。
Disks直接访问磁盘
病毒利用此来破坏文件和硬盘。
Keyboard直接访问键盘
特殊病毒(通常是木马和间谍软件等)能够捕获用户的键盘输入。这个意味着可以在用户没有察觉的情况下窃取
用户的各种帐户密码。
( Tue, 31 Mar 2009 22:04:18 +0800 )
Description:
防火墙防护模块
HIPS防护模块
友情提示:目前COMODOV3尚未加入对服务器操作系统的支持,请服务器操作系统,如WINDOWSSERVER2003
及2008用户选用其它HIPS或COMODOV2版本;
( Tue, 31 Mar 2009 21:58:06 +0800 )
Description:
图片:
第一部分 Comodo Firewall Pro V3 简介
啥是Comodo V3,没听说过?
Comodo V3 是一款刚刚发布的全新XP/Vista桌面安全软件,完全免费,包括了HIPS 和 Firewall提供了对于各种恶意威胁的最大保护。Comodo V3 是一款革命性的个人桌面安全产品,将引领桌面安全产品的转型,未来HIPS 将成为你安全体系的最重要的组成部分,是防御各种恶意软件,网络入侵的第一道防线。
----HIPS 是啥?
HIPS 全称是 主机入侵防御系统 ( Host Intrusion Prevention System),通俗的讲就是系统防火墙。Comodo 给自己的HIPS 命名Defe e+ (简称D+) 。 Defe e+ 是一个极其强大的HIPS,还在不断完善中。
Defe e + 可以保护你的系统资源(文件、注册表)不被恶意篡改, 可以保护你的私人文档,各种密码不被木马窃取,可以阻止病毒、木马的运行和对系统的破坏,可以阻止Rootkits 在你的系统留下后门。
----啥是 Firewall?
Firewall 主要负责控制网络通讯,过滤有害或者没用的垃圾数据包,只允许你批准的程序访问网络,防御来自网络的攻击。
Comodo V3 增强了防火墙引擎,提高了对P2P程序的支持(不影响速度、不占用CPU)。
Comodo V3 提供了ARP 保护,保护你的ARP缓存不被非法修改。
--------第二部分 为什么要使用HIPS (Defe e+)
----HIPS的分类
我认为HIPS至少分为三类:
Cla ic HIPS,也就是传统意义上的HIPS,包括SSM、PS、EQ,Comodo 的Defe e + 是Cla ic HIPS。
Smart HIPS 所谓智能型的HIPS,不多谈。
Sandbox HIPS 沙盘型的HIPS,Sandbox HIPS 三巨头:Defe eWall、GeSWall、Sandboxie,此外还有BufferZone、SafeSpace.
----为什么要使用HIPS (Defe e+)
目前,特征码杀毒早已滞后于新病毒的产生,传统杀毒软件对新病毒的检出率也就是5x%-6x%,最多7x%,纷纷引入主动防御。为什么增加HIPS作为防御体系一部分,因为 HIPS不依赖特征码,可以在杀毒软件的真空期,应付几乎所有的未知威胁。
--------第三部分 ***Comodo V3
下载地址:hxxp://www.personalfirewall.comodo.com/download_firewall.htm
----***Comodo前
1、你需要卸载其它第三方防火墙(防火墙只需要一个,两个防火墙装一起,有可能轻则不能上网,重则蓝屏死机),关闭Windows 防火墙。重启。
2、用杀毒软件扫描系统,保证你的系统是干净的。 如果你喜欢收集病毒样本,先将这些样本用压缩软件打包。
3、断开网络连接,暂时停用你的一切保护,双击***程序开始***。
这里可以选择 Advanced Firewall with Defe e+ (包过滤防火墙 + HIPS),或者不需要***HIPS,可以选择Basic Firewall(基础的包过滤防火墙)。即使这里选择***高级防火墙,以后在使用中,也可以选择不激活Defe e + 而成为一个包过滤防火墙。
注意这里,新手要选择P2P 友好模式(Yes);对V2.4 比较熟悉的,会自己设置P2P规则,可以选择(No)。
***结束以后,去掉Restart the Computer 的勾,Finish。
----我们接下来要备份默认规则,运行regedit 导出注册表:HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro
双击运行Comodo,在 MISCELLANEOUS - Manage My Configuratio 用Export 导出设置。
----为啥备份默认规则?
因为,怕你以后胡搞瞎搞,整的连系统都进不去了,好跑到安全模式,删掉HKEY_LOCAL_MACHINE\SYSTEM\Software\Comodo\Firewall Pro,然后恢复默认规则。
右键点防火墙托盘图标,去掉 Di lay Ballon Me ages ,这个选项本来就应该去掉的,以减少对用户的打扰。
在 MISCELLANEOUS - Settings - Update 去掉 Automaticlly perferm an online lookup for the unrecognized files , 以减少警告对话框弹出时间。
开始菜单 运行里输入 services.msc 将Terminal Services 设置成手动,并且启动。
其实这里设不设置都无所谓,不过开机可以看到绿色的已启动,比还在初始化要舒服。
在 MISCELLANEOUS - Settings - Logging - Disable Firewall logging/Disable Defe e+ logging,取消记录日志,大多新人看不懂日志,不如取消,等有问题的时候再打开也不迟。
***结束,重启系统。
----------------第四部分 Defe e+ 基本设置
----自动检测私有网络
Comodo V3 在***以后会自动检测本地网络连接,弹出相应的提示:
是一个带有掩码的IP地址段,比如:192.168.1.100/255.255.255.0、 10.200.1.62/255.255.255.252
通常,拨号上网,只要点OK 就可以,或者勾上不自动检测;
----完全禁用Defe e+(高级防火墙和基本防火墙切换)
Defe e+ 是Comodo V3 的HIPS(主机入侵防御系统),可以最大程度防御已知和未知的威胁;在得到更加强大的保护的同时,用户需要进行更多的设置,需要处理更多的弹出窗口。禁用Defe e+ 以后 Comodo V3 只是一个单纯的防火墙。
为了满足不同用户的需求(使用其它HIPS、或不想使用HIPS),Comodo V3 提供了禁用Defe e+ 的选项。
DEFENSE + ------ Advanced ------- Defe e+ Settings
--------安全等级
安全等级决定了 Comodo V3 对不同类型的程序如何处理,是否采用学习模式,或者弹出提示。
建议经过适当时间的学习,所有常用程序设置好规则以后,将Network Defe e 设置为 Custom Policy Mode,将Alert Frequency Level 设置为 Very High/High 。
如果***时系统是干净的(所有硬盘分区),将Proactive Defe e+ 保持为 Clean PC Mode 是最佳选择;还可以设置为Train Safe Mode。Paranoid Mode 不推荐普通用户使用。否则会很烦人。
--------基本设置方法
新手使用Comodo V3 是很简单的,只需要运行自己常用的软件,帮助Comodo 学习你使用软件的方式。Comodo一般不会打扰你,只在必要的时候给予提示,当碰到提示的时候,如果是网络软件或易被病毒利用的程序,选择 Allow this request &am Remember my a wer &am OK。 对于,不需要上网的一般程序选择
Treat this a lication as
Trusted A lication &am Remember my a wer &am OK 。
----Clean PC Mode是王道
Comodo 默认***以后Defe e+ 使用“Clean PC Mode” 。
对于新人来说,Clean PC Mode 是王道,最好的选择。
Clean PC Mode 的前提是你的电脑必须干净,所以,我才会在***前提示你杀毒。
Clean PC Mode 假设你的电脑硬盘里的当前所有程序是安全的,学习它们的操作,一般不会提示;
假设移动存储设备、网络是不安全的,对于以后新加入的文件,将认为是不安全的,任何操作都将给予提示。
----Clean PC Mode 和 My Pending Files 密切相关,My Pending Files 里的文件是唯一在Clean PC Mode下被Comodo认为不安全的文件,当从网络上下载一个新的程序(exe)到硬盘里,或从RAR解压一个exe 文件,Comodo 将会将它加入My Pending Files,成为不受信任的文件。以后运行这个程序将弹出提示。
Clean PC Mode 和 My Pending Files 是Comodo 申请专利的技术,Comodo V3 的启动 lash 有 patent pending 字样,就是指这个。 Clean PC Mode 和 My Pending Files 提供足够的保护的同时,保证了 Comodo V3的简单易用,最大限度地使用学习模式,是易用性和安全性平衡的典范。
--------推荐新人使用Clean PC Mode 。
--------等待审核的文件 My Pending Files
Comodo V3 没有SHA/MD5 这样的文件Hash系统,而是使用文件保护和实时追踪系统文件变化。
新建立、更新、修改的可执行文件(包括exe、dll、sys等),都会被加入 My Pending Files 等待用户审核。
--------My Pending Files 的文件是不信任的,任何动作都将会提示。为了保证系统安全,在Clean PC Mode 下,必须100% 确认这些文件是安全的,才能用Remove移除,一旦移除,这些文件将会成为安全的,Comodo 对以后的一般操作都不会提示。对于不确认的,请保留到 My Pending Files 直到最后确认是否安全。对于,不存在的或者临时文件,可以用Purge 移除。 对于不安全的,直接在资源管理器里彻底删除。
--------***模式 I tallation Mode
Comodo 提供了***模式,可以在***新程序时,减少提示。
首先要确保***程序100%安全,然后运行,选择 Treat this a lication as an I taller or Updater 即可。
Comodo 会提示 是否切换到***模式,选“Yes” 进入***模式,不同意的选“No”。
由于处于***模式的程序具有很大的权限,所以Comodo会定时提醒你,切换回从前的模式(***完选Yes)。
Image Execution Control Settings
加入:*.com, *.bat, *.pif *.cmd *.sys
----------------第五部分 Firewall 基本设置
Comodo 默认***以后Defe e+ 使用“Clean PC Mode”,Firewall 使用“Train With Safe Mode” 。
为什么不在Firewall 里也搞个Clean PC Mode呢? 因为网络是不安全的,一旦一个程序有访问网络的权限,它就有可能危害你的系统和个人隐私,Firewall 的Clean PC Mode 没有意义。
Train With Safe Mode 只学习Comodo 白名单数据库里的安全程序的网络规则,这在干净的电脑上是安全的。对于不认识的程序,将会提示。
----调整Firewall设置
在学习规则前,我们先调整一下防火墙设置。
1.修改My Port Sets - POP3/SMTP Ports
默认的和邮件有关的端口,添加一下最后是:
110、25、143、465、587、993、995
2. 新建一个Dangerous Ports 危险端口组,添加:
135、137-139、445、3389
3. Firewall - Common Tasks - Stealth Ports Wizard
你可以在这里选择完全隐身模式,以后自己象V2.4 那样添加规则。
4.自定义Global Rules
Comodo V3 的Global Rules 相当于 V2.4 的Network Monitor;
Comodo V3 的A lication Rules 相当于 V2.4的A lication Monitor 。
Firewall - Advanced - Network Security Policy - Global Rules
添加一些规则,注意所有允许的规则都放在阻止的规则上面,因为 Comodo Global Rules 由上至下匹配。
添加几个简单阻止规则:
1. 阻止对本机 Privileged Ports[0-1024] 的访问,普通用户,不会开启这些端口。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port In[Privileged Ports]
2. 阻止对本机 3389 端口的访问,由于前面开了 Terminal Service,在这里阻止远程协助端口,以防万一。
Block And Log TCP OR UDP In From IP Any To IP Any Where Source Port Is Any and Destination Port Is 3389
3. 阻止本机连接 135、137-139、445端口
Block And Log TCP OR UDP Out From IP Any To IP Any Where Source Port Is Any and Destination Port Is In[Dangerous Ports]
4. 默认的阻止被人Ping的规则
Block And Log ICMP In From IP Any To IP Any Where ICMP Me age Is ECHO REQUEST
建议经过适当时间的学习,所有常用程序设置好规则以后,将Network Defe e 设置为 Custom Policy Mode,将Alert Frequency Level 设置为 Very High/High 。
ComodoV3***使用***介绍及讲解
这个是我根据帮助文件和自己的使用心得归纳而成,希望对毛豆们有一点帮助,也是抛砖引玉,时间仓促水平有限,难免谬误,还请各位大大指正。本文是对comodo的基本功能的介绍和讲解。
Comodo防火墙专业版为你的系统提供360°全方位的保护,通过企业级的包过滤墙和先进的主机入侵防御系统的完美结合来阻止来自内部及外部的威胁。新的界面能帮助用户更加方便迅捷的访问所有主要设置,包括强大的高度可配置的安全规则界面。
Comodo防火墙始终监控来自内部和外部的攻击并且守护你的系统,V3最大的特色就是提供了完全成熟的HIPS主机入侵防御系统,命名为Defe e+来保护你的重要系统文件以及在病毒和恶意软件获得机会***前就阻止它。事实上,defe e+对于防御恶意软件非常出色,你也许永远不再需要脆弱的反病毒软件了 ^_^。
V3提供了非常有好人性化的图形用户界面。高度细化的设置选项。容易理解和有益的报警提示。优秀的信任区侦测功能以及其他。Comodo防火墙专业版提供了企业级的保护,可以‘out of the box’ 使用---即使是最没有经验的用户也可以在***后使用,不会为复杂的配置问题所困扰。
Comodo包括一个内置的可执行文件数据库。对所有已知的可执行文件进行了全面的分类。Comodo是唯一为用户提供这种重要信息的防火墙。
---------***
在***前确保你的系统里没有其他第三方防火墙软件。
系统需要配置
Windows Vista (Both 32-bit and 64-bit versio )
Windows XP (Both 32-bit and 64-bit versio )
Internet Explorer Version 5.1 or above
64 MB available RAM
60 MB hard disk ace for 32-bit versio and 80MB for 64-bit versio ---------***步骤
这时Comodo防火墙会询问是否启用安全程序认证功能。Comodo的安全列表是一个超过了一百万应用程序的签名数据库。所有这些程序都被comodo认可为安全对你的系统不会造成伤害。如果启用了这个功能,comodo会自动为了系统内的在comodo安全列表内的程序创建允许规则来允许这些程序访问网络。这个功能是非常方便和安全的,因为你最爱的程序能立刻联网,不过如果这些程序尝试以可疑方式联网时comodo依然会立刻提示你的(比如木马劫持了程序后准备通过此程序外联时comodo会马上报警提示^_^)。
***完毕
---------------------------各主要界面及功能介绍
---------摘要界面
提示框界面
提示框分为防火墙提示Firewall Alerts 和行为监控提示Defe e+ Alerts。先来看行为监控提示
关于le optio 功能
这个功能是将询问选项简化成只有允许和阻止。
询问框安全等级
询问框安全等级分为三类,以黄,橘,红三色表示。可以帮助用户判断,但是这只是辅助之用,还需要结合安全评估进一步分析方可做出允许或阻止选择。
***报警------低威胁报警。在大多数时候你可以允许这些网络连接请求或行为请求。这个等级默认对安全请求是自动勾选'Remember my a wer for this a lication' (记住)选项的。
橘色报警------ 中度威胁报警。请仔细阅读安全评估后再做出决定。这个警报可能是信任程序的无害进程或活动,也可能是恶意软件的攻击。如果你知道这个程序是安全的你通常可以选择允许,如果你不清楚这个程序执行的动作或连接是否安全你可以阻止它。这里我的建议是如果有进程或动作不清楚,可以百度或狗狗来了解下,对判断很有帮助。
红色报警------高威胁报警。这个报警显示了类似木马病毒或其他恶意软件活动的高度可疑行为。在允许此活动前请仔细阅读提供的信息,慎重决定,不能确定的话百度狗狗是你的好榜手哦^_^
---------如何对询问提示做出正确的判断?
对于防火墙询问
仔细阅读安全评估。Comodo能够识别数千中安全程序(比如IE和outlook),如果程序被认为是安全的(安全评估里可以看见,如果是安全的 comodo会直接显示“安全”),你可以选择允许。同样如果程序是未知的或不能识别的comodo也会在安全评估里直接告诉你,如果是你平常经常用的程序你可以允许它的联网请求(一般出现这个情况的原因是此程序还没有被加入到comodo的数据库中,所以想要更方便的使用大家还是要多多上报平常常用的一些程序),如果是你没有见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信息,下次出现这个询问是就知道怎么做了。
在提示框中点击进程的名称可以调出此进程的属性窗口,可以帮助你做进一步判断。
如果你确定这个程序是你常用的程序,你可以使用'Treat This A lication As' (把此程序归为)选项来用内置的规则简化操作。比如你可以把程序设置归为'Web Browser' 浏览器类型。这样此程序就可以使用与IE等浏览器一样的规则。这些内置规则都是经过comodo特别设计的针对此类程序的最优化的安全设置。
对于行为监控询问
和防火墙询问一样,仔细看安全评估。Comodo能够识别数千中安全程序,如果程序被认为是安全的(安全评估里可以看见,如果是安全的comodo会直接显示“安全”),你可以选择允许。同样如果程序是未知的或不能识别的comodo也会在安全评估里直接告诉你,如果是你平常经常用的程序你可以允许它的执行动作请求,如果是你没有见过的程序请慎重决定,最好先阻止,但是不要选记住,然后百度狗狗下有关信息,下次出现这个询问是就知道怎么做了。
如果不是***程序请不要把程序归为'I taller or Updater' (***升级)类型。因为这个类型给予了程序最大的权限,如果你必须使用可以暂时选择此类型,但请不要选中“记住”选项。
在各种报警行为中特别要注意的是Device Driver I tallation(***设备驱动)和Physical Memory Acce (访问物理内存),很少会有合法程序会有这两种动作(可惜中国好像很多^_^),这通常是比较明显的恶软和rootkit的行为。除非你确定请求此动作的程序是合法的。建议:访问物理内存一般不管正常与否都可以阻止,对程序的使用没有大的影响,***驱动请确定程序的合法性,如果不确定一定要先阻止。
Protected Registry Key Alerts 修改受保护的注册表键值报警
这种情况一般发生在你***新软件时,如果没有***新软件,在使用软件的过程中出现这种情况,建议阻止,即使你看不懂它要修改的是什么也没关系,一般阻止了不会影响程序的使用。
'Protected File Alerts' 受保护的文件报警
一般发生在你下载文件或复制文件或者升级程序***程序时。如果不是以上这些情况建议阻止。
如果有程序要在windows目录和子目录下创建可执行程序一定要特别注意。这是典型的恶意软件的行为,如果你不是***新程序或打补丁一定要阻止。
如果有程序要创建一个很陌生的dll文件,可能是病毒,除非你信任此程序,否则建议阻止,或者将它设置为“监禁程序”'Isolated A lication' 。
---------------------------Defe e+模块
D+可以说是comodov3最吸引人的地方了,非常有特点。它其实就是个HIPS主机入侵防御系统,会一直监控你系统中所有可执行文件的活动。每当有未知的可执行程序(.exe, .dll, .sys, .bat etc)尝试运行时comodo就会报警,得到你的允许后才能运行。先看界面,分为Common Tasks“常规功能”界面和Advanced“高级功能”界面。
常规功能界面
通过这个界面的功能可以很方便的配置D+。
高级功能界面
这个是提供给比较有经验的用户来更深入的设置D+的安全策略和设置的。
---------常规功能讲解
1.View Defe e+ Events日志
日志记录每一条违反了你的安全策略的行为,这些行为已经被阻止,你可以通过查看日志了解。
点击上图日志中的“more”可以查看更多近期的日志。还可以对日志进行过滤,这个没什么大用就不展开了。
---------My Protected Files受保护文件
这个功能可以防止你要保护的特殊文件和文件夹被未授权程序非法修改。这个可以防止各种病毒修改受保护文件,也可以防止非常有价值的文件被偶然或蓄意的破坏。当一个文件是受保护文件时它依然可以被访问阅读,但是不能修改。例如host文件(c:\windows\system32\drivers\etc\hosts).这种系统重要文件就应该加入到受保护文件中。这样一来就可以只允许程序读取,但不能修改,一旦尝试修改就会被comodo挂起并报警。
受保护文件虽然可以阻止病毒修改文件,但是一些正常程序需要修改怎么办呢?可以通过添加"例外"Exceptio 来保证它们拥有修改的权限。
比如假设一个WPS文件'***.w ',我们需要w 程序可以修改它,而不希望其他肯潜在恶意程序去修改它。那我们就可以这么设置。
把'***.w "加入受保护文件后,现在我们来把w 程序排除,允许它修改“***.w ”。
这样"***.w "就既可以被WPS修改而又不会被其他程序修改了。
---------My Quarantined Files 我的隔离文件
这个功能可以允许你锁定文件和文件夹,在隔离区域里的文件或目录任何其他程序和用户都不没有权限访问,如果隔离的是可执行文件将无法运行。和我的受保护的文件不同,隔离文件不允许设置例外程序来访问它。
我们再来举个例子,假设“概述.w ”添加为隔离文件。
添加完成后,我们来删除试试看。
---------My Pending Files我的等待认证文件
***Comodo Firewall后,comodo会监控所有文件的动作。每个新的可执行文件都会被comodo扫描以检查是否在comodo的认证安全文件数据库中。如果不在其中,comodo就认为它不是安全的,会把它们添加进'My Pending Files' 我的等待认证文件中,等待用户的查阅并有可能的话上报给comodo。除了新的可执行文件,任何被修改的可执行文件都会被重新加入'My Pending Files' 中。
'My Pending Files' 我的等待认证文件这个功能对于'Clean PC Mode'清洁模式是非常有用的,在清洁模式中,等待认证文件被认为是不清洁的。
“等待认证文件”允许用户:
访问等待认证文件,决定是否信任文件。如果文件是可以信任的,可以转移到'My Safe Files' (我的安全文件)区域 ,同样的如果不信任的话可以转移到'My Quarantined Files' (我的隔离文件)区域。
Lookup功能是允许你通过master Comodo safelist检查文件信息。会连接comodo服务器在master Comodo safelist安全列表数据库中检查是否有任何有关此文件的信息,如果没有信息,你可以把它上报给comodo进行分析。
---------My Own Safe Files我的安全文件
'My Own Safe Files'我的安全文件是个非常有用的功能。你可以把你信任的文件加入,这样这个文件就被comodo认为是安全的,如果是一个你认为安全的可执行文件但是comodo的数据库里暂时没有的话你可以把它加入'My Own Safe Files'区域。这样运行时就不会有提示框了,方便了用户。
View Active Proce List查看活动进程
这个界面把你系统中所有活动的进程以及它们的父进程以进程树方式显示了出来。
My Trusted Software Vendors我信任的软件提供商
Comodo可以从信任软件提供商处获得程序的数字签名。可信任的提供商都会向第三方提供数字签名以保证它的真实和完整性。目前一般是在Trusted Certificate Authority机构进行第三方签名。D+默认会检测对比软件开发商和Trusted Certificate Authority提供的签名。同时也会把经过检测无问题的软件加入comodo的安全列表中。
My Protected Registry Keys我的受保护注册表键值
Comodo默认已经将一些系统重要注册表键值加入保护防止修改。如果这些重要键值被以任何方式修改可能会对你的系统造成无法挽回的损失和破坏。所以请一定确保这些键值是受保护的。
My Protected COM Interfaces我的受保护的COM(组建对象模型)接口
Component Object Model (COM)是微软公司为了计算机工业的软件生产更加符合人类的行为方式开发的一种新的软件开发技术。在COM构架下,人们可以开发出各种各样的功能专一的组件,然后将它们按照需要组合起来,构成复杂的应用系统。由此带来的好处是多方面的:可以将系统中的组件用新的替换掉,以便随时进行系统的升级和定制;可以在多个应用系统中重复利用同一个组件;可以方便的将应用系统扩展到网络环境下;COM与语言,平台无关的特性使所有的程序员均可充分发挥自己的才智与专长编写组件模块;等等。
COM是开发软件组件的一种方法。组件实际上是一些小的二进制可执行程序,它们可以给应用程序,操作系统以及其他组件提供服务。开发自定义的COM组件就如同开发动态的,面向对象的API。多个COM对象可以连接起来形成应用程序或组件系统。并且组件可以在运行时刻,在不被重新链接或编译应用程序的情况下被卸下或替换掉。Microsoft的许多技术,如ActiveX, DirectX以及OLE等都是基于COM而建立起来的,而directX和OLE都是黑客和病毒对你的系统发起攻击的最喜爱的目标。限制进程访问 COM,保护COM接口对于系统安全是非常重要的一部分。
Comodo默认已经将一些重要COM加入了保护,你也可以自己添加。这个COM不熟悉,所以我一直用的默认,具体的等以后U版来讲解吧^_^。建议是看到有关COM的报警就阻止,有什么问题再根据日志修改。反正我是这么做的^_^
---------------------------高级功能讲解
---------Computer Security Policy系统安全策略
这个是D+的重头戏了。就是平时大家所说的规则,没有好的规则再好的软件也没有用,所以规则的设置是非常关键的。下面就来介绍下规则的设置。
对已配置策略的程序进行策略修改
如果要为一个新程序设置规则怎么办呢?
对于程序的访问权限应该怎么设置见仁见智。这里我把自己对一般应用程序的AD设置的看法说一下,仅供大家参考。
1.运行应用程序.
这个很简单吧,没什么好说的,你双击一个程序,这个程序就运行了谁
